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Será que o Brasil está virando realmente um 
laboratório do cybercrime? Esse é o título da 
matéria que saiu no jornal New York Times, 
citando inclusive a nossa revista. É realmei 
difícil acreditar na imprensa não-especi 
(na especializada também) quando a 
é hackerismo e conhecimento avan 


computação. Como as pessoas nã 
entender a cultura digital, pare 


or outro 


grande celeiro de criminosos digit; 
lado, para a revista dê uma emissora “jovem” 


de São Paulo, geeks são 05 Ros pela Rede. 
São mais estereótipos para, u “geek: moleque 
com ARE ne relacionamentos pessoais, 
cheio de espinhas e meio doido. Nada mais 
longe da reali 

A diferença está na relação com o conheci- 
mento. A revista H4ck3r não se preocupa em 
ensinar coisas ilegais, mas também não evita 
assuntos porque alguém pode usar o conheci- 
mento para coisas ilegais. Então, o negócio é 
evitar os estereótipos e partir para o estudo 
sistemático. E nada de se dedicar somente à 
computação. Há diversos outros assuntos 
desafiadores esperando respostas. 
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& . mas, na hora de explicar, não conse 
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> Uma rápida evolução / 58 Nes AO tornou-se ainda mais flexivel e elabora- 

| Em primeiro lugar, é preciso entender o qj - darrám firewals q faziam'o papel de bastion hostspgu seja, 
firewall e como surgiu essa idéia aplcaaga informática. e a com di ãos de fluxo! que têm a sea 

conceito tem origem na construção civil! No sentido ásia é choke points (pontoSatravés dos quais pa Si 
literalmente uma parede não iemett pouco inflamávelgem uma rede, tanto ntrada quanto de sai dd mente o 
janelas e colocada entre col modos cuja Me é impedir du primeiro firewall comercial desse tipo foi desenvolvido, à pela « 
dificultar o alastramento doa em um incêndio, dando tempo Digital Equipment Corporation (DEL) em 1991, e recebeu o 


para a atuação dos bombeiros. Í * nome de SEAL (Secure External Access Link), tendo io 
Na informática, o termo foi adap) Ea) pare esighar uma baseado no firewall corporativo da ao empresa. O SEAL 
barreira lógica (formada por À único col Usava filtros e proxies. ” 


conjunto de componentes) enfre duas redes; uma parti F Em 1993, pelas mãos da Trusted Information Systems (TIS), 
interna, chamada LAN (Local Area Nery rk), j surgia O Firewall Toolkit (FWTK), que Ea base para boa 


normalmente a Internet ou o extrato sui d é parte-das tecnologias usadas hoje na área. Cerca de um ano 
corporativa, A idéia é proteger ya di NE Check Point i inaugurava, com o Firewall-1, aprimeira 
oriundos da rede externa. Á. Á 4 
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Workstation 


Entenda o conceito por trás do 
funcionamento desses EE 
importantes dispositivos 


Internal Network 


Internet 
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pacotes IP, refletindo a política.de segurança programada pelo 14 
administrador. Há três subtipos: static filtering, que contém regras 
de filtragem que devem, todas, ser mudadas manualmente; 
dynamic filtering, no qual as regras são alteradas dinamicamente, 
de acordo com eventos observados pelo componente; stateful 
inspection, similar à dynamic filtering, mas com um exame mais, 
aeifoda gestE nas dos pacotEME Rafa mpechahadoside Esquema de funcionamento do DEC SEAL, primeiro firewall comercial 
network layer firewalls Pr 


Application gateways (ou application layer firewalls): 
operam no nível das aplicações, ou seja, no tráfego dos browsers, 
Telnet e/ou FTP. Interceptam e investigam as fequisições proveni- 
entes dos diferentes aplicativos e verificam/se elas estão de 
acordo com as regras de segurança antes de passá-los (ou'não) 
para os serviços de fato. São também chamados de proxy-based 
firewalls ou proxy services. O nome advém do fato que firewalls 
desse tipo provêm novas conexões em substituição às antigas, Esquema simplificado da relação entre uma LAN e a Internet 
atuando como procuradores" (“prokies”) das máquinas prote: 


das que requisitaram os serviços externos 


Circuit gateways; atuam na camadajdé ffansporte da rede e 


SR 
são uma espécie de variação dos appliatiah gateways: Enquanto mate tn) 


nl 


os primeiros interpretam os comandosidas aplicações e sabem a 
Firewall 

quais estão atendendo, estes criameircuitos entre máquinas 

clientes e servidores sem interpretar os protocolasidos vários 


Funcionamento genérico de um firewall 
aplicativos, Dessa forma, um circuit gateway pode atendera 


diversos protocolos, enquanto deve existir um proxy-based firewall 
para'cada-tipo de serviço que se queira proteger 
umw-dec.utmg.br/-mibe'cursos/intenet'irewallindex. html 
Hybrid firewalls: firewalls que somam duas Ou mais caracterls: trabalho contendo'conceitos básicos 
ticas dos tipos anteriores. 
uam Securityfocus.comvintocus/1 716 
outro artigo sobre evolução dos firewalls e sobre o futuro.desses 


Para saber mai componentes 


Www.cisco.com/warp/publio/759/pj 2-2/p]. 2-2. fis1.htm www avolio.com/pres/FirewallsHistory. files/frame.htm! 
Excelente artigo sobre evolução do firewall série de slides que conta a históriados firewalls 


FIREWALL INVISÍVEL 


Firewall bridg 


Como construir um firewall anônimo na rede 


este artigo, vai ser discutido o princípio de um firewall 

utilizando o conceito de bridge, para que exista a 

possibilidade de inserirmos um elemento “secreto” em 
nossas redes, ou seja, este firewall não vai possuir um endereço de 
entrada ou saída, sendo praticamente invisível, a não ser por 
métodos mais avançados. É como aquela velha idéia: você não 
pega o que não vê, por isso as chances de ter curiosos em nosso 
firewall serão bem diminuídas, caso ele não possua um endereço 
visível e constante nas rotas de acesso à nossa rede. 

Para começarmos, vamos esclarecer alguns termos : 


Firewall, a grosso modo, é um sistema de controle 
de acesso, mas também de distribuição e proteção. 

Bridge pode tanto ser encontrado na forma de 
hardware, quanto na de software. Hoje em dia, não é tão 
divulgado quanto há algum tempo atrás, em que protocolos como 
IPX/SPX das redes netware não podiam ser roteados e quando 
havia a necessidade de se comunicar entre duas redes ou dois 
barramentos. Uma bridge basicamente copia um pacote de uma 
interface para a outra, sem análise ou distinção. 

Endereço é o identificador de uma interface, o 
endereço IP de uma máquina indica a sua localização e é uma das 
formas de acesso a serviços 

Rotas são artifícios utilizados para organizar os 
endereços e distribuir as redes que os contém. 

Gateway é o computador ou dispositivo que será 
a entrada/saída padrão de nossa rede, Toda máquina que acessa a 
Internet tem um gateway padrão e uma rota para ele que vão 
receber os pacotes destinados para fora da rede. Também 
chamado de default gateway, é geralmente apresentado com o 
endereço de 0.0.0.0 na tabela de rotas. 

Modo promíscuo de uma interface é quando o 
hardware recebe e aceita todos os pacotes apresentados em seu 
barramento, sejam direcionados para ela ou não. De modo geral, 
as interfaces de rede só aceitam o que for direcionado a elas, 
tendo um filtro em seu hardware para bloquear o resto, já que ela 
recebe sinais elétricos do barramento todo. Neste caso, mandamos 
a interface aceitar tudo. Este recurso é usado nos programas do 
tipo sniffer que monitoram e gravam pacotes na rede. 


Alguns conceitos já são familiares, mas esta introdução 


serve para pensarmos neles apenas no aspecto de significado e 
não de produtos, um erro que pode impedir-nos de criar 
solutões criativas ou que atendam as necessidades apresenta 
das. Se pensarmos apenas em termos de produtos, comerciais 
ou não, vamoSiesbarrar em nosso conhecimento do produto ou 
em suas limitações: 

A idéia básica desum firewall “invisível” (o invisível vai entre 
aspas, pois como foi dito anteriormente, existem maneiras de: 
detectá-lo) é termos entre a entrada de nossa rede e o gateway 
de distribuição, ou até mesmo diretamente entre o roteador e os 
outros computadores, um dispositivo que filtgará os pacotes, 
podendo até fazer um proxy transparente de algum protocolo (tal 
como http), mas sem apresentar um endereço de entrada e um de 
saída, como estamos acostumados: 


(web) -> roteador ->(ip) firewall (ip)-> rede local 


A proposta é utilizarmos o conceito de bridge para que 
nossa máquina copie os pacotes de um lado ao outro (da interface 
de entrada para a de saída), mas sem a necessidade de novas 
rotas, sub-redes ou endereços. 


(web) -> roteador -> firewall/bridge -> rede local 


A desvantagem deste sistema é que não teremos o acesso 
remoto a não ser que seja incluída uma interface de rede especial 
para isto, colocada em uma rede à parte. O acesso para a 
configuração deve ser local. 

Claro que existem maneiras de implementar este acesso 
por qualquer interface, mesmo a de entrada e saída, mas 
nosso objetivo é um sistema básico, sem muitas complicações 
para o funcionamento inicial. Fica como sugestão de estudo 
posterior a implementação deste modo de acesso remoto. O 
fato de não termos endereços nas interfaces não vai 
caracterizá-lo como um gateway. 

Nosso firewall bridge vai copiar os pacotes de uma entrada 
à outra, mas aplicando os filtros normais do iptables a cada pacote. 
O principio é tão simples, que pode ser executado em outras 
plataformas, tal como freebsd e openbsd, que possuem este 
recurso há muito tempo e bem estáveis. O recurso de bridge no 
Linux começou como um projeto simples e hoje contém drivers no 


e “invisível” 


kernel e um programa de configuração. 

Além das características que comentamos, esta solução é 
ideal para quem quer “economizar” endereços IPs ou não quer 
usar muitas sub-redes apenas para um firewall. 

À idéia é setar as duas interfaces em modo promiscuo, de 
forma que aceitem todos os pacotes presentes em sua entrada e 
habilitar o bridge, para que estes pacotes sejam copiados. Para 
isso, devemos ter o forwarding habilitado em nosso kernel e com o 
iptables, podemos definir regras para este tráfego. 

Inicialmente, vamos precisar recompilar o kernel, caso as 
opções necessárias não estejam disponíveis. São elas: 

CONFIG. BRIDGE=y (*802. 1d Ethernet bridging") e (“netfilter 
(firewalling) support”) 

CONFIG. FIREWALL=y 

CONFIG. NET. ALIAS=y 

CONFIG. INET=y 

CONFIG IP. FORWARD=y 

CONFIG.IP MULTICAST=y 

CONFIG. IP. FIREWALL=y 

CONFIG. IP FIREWALL VERBOSE=y 
CONFIG. IP. MASQUERADE=y 


Antes de compilar o kernel, deve-se aplicar o patch bridge- 
nf, encontrado na URL Atto.;//bridge.sourceforge.net para acres- 
centar as funções necessárias. 

Todas essas opções Estão na sessão Networking da 
compilação do kernel. Nas documentações das distribuições, 
geralmente constam os nomes dos patates que contêm módulos já 
prontos e/ou kernel já compilado com estaS'apções. Consulte-a! 

Após esta configuração, tendo certezaide que as placas 
de rede estão reconhecidas pelo sistema, basta ativar o 
forwarding no kernel: 

Hecho "1" > /proc/sys/net/ipv4/ip forward 

Setar as interfaces para modo promiscuo: 

* ifconfig ethO promise 

fifconfig eth1 promise 


E com o programa brefg: 
* brefg -enable 

H brefg -port O -enable 
* brefg -port 1 -enable 


Por Gleicon S. Moraes 
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Assim, a bridge estará funcionando e transmitindo. Resta 
utilizar O iptables para montar suas regras como de costume. Uma 
sugestão nova é o ebtables, que trabalha em um nível mais baixo 
que o iptables, com opções mais especializadas para estes protoco- 
los (requer patch no kernel também). 

Um exemplo de regra: 

* iptables -| FORWARD -p tcp -s 0.0.0.0/0 -d 10.0.0.1 — 
dport 22-j DROP: 

(Bloqueia acessos externos à porta 22 do.host 10.0.0,1) 

Como não temos interface e a bridge está copiando 
pacotes, a regra vai no chain FORWARD. 

De resto, é só experimentar e testar com o seu setup. 
Alguns detalhes podem variar de uma distribuição para outra, mas 
o objetivo deste artigo foi explicar o conceito, podendo ser aplicado 
diretamente em outras plataformas. Com o FreeBSD, por exemplo, 
uma vez compilada as opções no kernel (options BRIDGE), basta 
utilizar o comando sysctl (ou adicionar no /etc/sysctl.conf) 

*sysctl-w netlink.ether.bridge: 

& sysctl=w net link.ether.bridge:cfg=if1,if2 

Hsysctl netlink ether.bridge. ipfw=1 

e seguir utilizando.o ipfw para moldar as regras. 


Procure na documentação do seu sistema operacional e 
para entender mais, pesquise em um bomlivro sobre redes. 
Lembrando que mais vale o conceito do que a receita de bolo de 
um produto. 


>> Referências: 


http://bridge.sourceforge.net - brefg, patch para o kernel 
24x 


httBzavww tidp.org/HOWTO/Bridge+Firewall-3.html 
http://ebtables.sourceforge.net/ 
http:/Awwwfreebsd.org/doclen US.ISO8859-1/books/ 
handbook/bridging.html- Freebsd handbook 


ESTRATÉGIAS 


Estratégias para 


a 


Proteger sua rede não é algo difícil 


ntes de decidir implementar um firewall, é importante ter o conhecimento de algumas estratégias básicas empregadas 


na construção destes, Visando uma maior segurança e confiabilidade de seu firewall, resolvi escrever sobre estes 


métodos que podem e devem ser analisados. 


>> Menor privilégio 


O princípio do menor privilégio é aquele que preza por 
delegar somente os privilégios necessários para que um 
determinado objeto possa realizar sua função na 
organi mas é preciso tomar cuidado para não 
atribuir privilégios menores que o necessário, pois 
forma, tal objeto não conseguirá realizar suas tarefas. 
Este método é largamente utilizado, sendo importante 
para eliminar ou amenizar os danos causados por 


pessoas mal intencionadas 


Alguns fabricantes de automóveis configuram suas 
fechaduras de forma que uma única chave sirva para 
as portas e a ignição e uma chave diferente sirva para 
o porta-luvas e o porta-malas, isto é, você pode impor o 
menor privilégio dando ao manobrista do estaciona- 
mento a possibilidade de estacionar o carro sem ter 
acesso ao que está guardado no porta-malas. Muitas 
pessoas utilizam chaveiros separados pela mesma 

razão. Você também pode impor o menor privilégio 
dando a alguém a chave do seu carro, mas não a chave 


sua casa” 


Um sistema de filtragem de pacotes projetado pa 


permitir apenas a entrada de pacotes para os serviços 


necessários é outro ex: 
privilégio. Ele é muito utilizado em gran 
simplicidade e eficiência 


No contexto de Internet, 


Todo usuái precisa a 
de Internet existentes; 

Todo usuário não precisa modificar todos os 
arquivos em seu sistema; 

Todo usuário não pr a senha de root 

dministrador) da máquina; 

Todo administrador de sistema não pre 
conhecer as senhas de root de todos os sistema 

Todo sistema não precisa acessar todos os 


arquivos de outro sistema 


incípio do menor privilégio sugere que você deve 
explorar meios para reduzir os privilégios necessários para 


diversas operações. Por exemplo: 


Não dê a um usuário direit 
um sistema, se tudo que ele precisa é executar o A 
Não faça um programa ser executad 
membro de um grupo altamente privilegiado, 


m 


ele precisa fazer é gravar em um arquivo. Em 
agrupe o arquivo em um grupo e faça o programa ser 
utado como um membro deste grupo; 
Não faça sua rede interna confiar em um dos 
firewalls. Em vez disso, faça o firewall confiar na sua 


rede interna 


Muitos dos problemas de segurança comuns na Internet 
podem ser evitados com a utilização deste princípio. 
exemplo, o Sendmail é um alvo muito pelos 
atacantes, devido ao fato de que funcionar acoplado ao 
root e de seu alto nível de complexidade, que aumenta a 
gs. Por isso, programas 
nples quanto possíveis. Caso um progra- 
a complexo exija privilégios acentuados, devemos 
rar meios de separar e isolar as partes que n 
cessitam destes privilégios das que nãc 


Este princípio de segurança é destinado à prevenção dos 
acidentes e a minimização das respectivas consequênci- 
evitando que um problema isolado tre pel 
sistema, instituindo múltiplos, redundantes e indepen- 
dentes níveis de proteção. A idéia aqui é não depender 
de um único método de defesa, instalando vários níveis 
de proteção, tornando a tentativa de invasão arriscada 
ou cansativa demais para os atacantes. Isto porque a 
olar um nível de pi 


bomfirewall 


Por endy Nakahara Passos 
netstartObrturbo.com 


Clayton 


muito maiores do que as chances de violar um sistema com 


vários níveis de segurança 


n Salv 
a se voltarar 

mar, de onde os corsários estrangeiros ai 
cidade. Inútil contra a artilharia da época, a velha 
muralha (feita de taipa e barro e depois reforçada em 
pedra e sal) deu lugar a um efi te sistema de defesa 
em profun com trincheiras, muralhas e fortifi 
ções construídas em lugares estratégicos e armadas de 


acordo com a evolução da arte da guerra 


Existem muitos exemplos fáceis de citar para se entender 
este princípio: o guichê de pedágio, o caixa de supermer- 


cado ou do banco. O ponto de estrangulamento (choke 


point) fo a usarem um me 
que você possa monitorar o qui 


ESTRATÉGIAS 


Normalmente, o firewall em sua rede é esse ponto de 
estrangulamento; qualquer atacante que desejar entrar 
em sua rede deve passar obrigatoriamente pelo firewall 
Você deve estar preparado para responder a tais ataques 


O planejamento e utilização deste método não compen- 
sam se houver outra maneira de um atacante acessar sua 
rede, que não seja o ponto de estrangulamento. Afinal de 
contas, de que adianta travar uma batalha contra o 
firewall se podemos dar a volta, buscando outra maneira 
de acessar a sua rede? Por isto, garanta um ponto de 
estrangulamento eficiente. 


Simplicidade é uma estratégia de segurança, pois, manter 
as coisas mais simples, as torna mais fáceis de se enten- 
der. Se algo não é compreendido, não se pode realmente 
saber se o mesmo é ou não seguro. Programas complexos 
têm mais bugs, sendo que cada um deles pode constituir 
um problema de segurança 


Cuidado, não se deve sacrificar a segurança para conseguir 
simplicidade. A segurança efetiva é complexa por nature- 
za. O importante é manter um sistema que se possa 
compreender sem perder a segurança e a confiabilidade 


y 


E» Obscuridade 


Manter a segurança através da obscuridade é um 
princípio nada confiável, pois consiste unicamente em 
ocultar coisas. Exemplos práticos deste método são: 


Colocar uma máquina na Internet e achar que 
ninguém tentará invadi-la, simplesmente porque você não 
contou a ninguém sobre ela, 

Abrir um servidor Apache em uma porta diferente 
para que ninguém o utilize, a não ser as pessoas que você 
informou sobre sua existência; 

Configurar sua rede de forma que usuários 
internos vejam as informações de uma maneira e usuários 


externos (internet) não consigam ver tais informações, como 


portas e serviços prestados em seus servidores. 
Observe alguns pontos: 


Sempre utilize esta técnica em conjunto de outras, 
pois manter a segurança apenas através da obscuridade é 
muito ruim; 

Não anunciar algo não é o mesmo que ocultá-lo; 

Utilizar um sistema de criptografia desconhecido nãi 
garante segurança nenhuma 


Apenas implementar um firewall, por mais consistente 
que este seja, não é suficiente para dizermos que toda 
a rede está segura. Por este motivo, apresentei neste 
material algumas técnicas que podem ser utilizadas 
para tornar a segurança de sua rede mais eficiente. 
Uma boa solução é utilizar várias destas técnicas e não 
apenas uma delas. Dê preferência à simplicidade, mas 
lembre-se: sem sacrifícios! 


[1] Elizabeth D. Zwicky, Simon Cooper e D. Brent 
Chapman. Internet e segurança na Web - Constru- 
indo Firewalls Para a Internet. O'REILLY & Associated, Inc., 
2000. 

[2] Garfinkel, Simson and Spafford, Gene. Practical 
UNIX and Internet Security. O'Reilly & Associated, 
Inc. 1996. 

[3]B. Fraser, SITE SECURITY HANDBOOK, RFC 2196, set 
1997. Disponível em: <http:/Avwmietf.org/rfc/ 
rfc2196.txt2number=2196> 

[4] <http:/Mmww. mp. brinewsgen/981 1/ipfw.shtml> 

[5] <http:/Avwm gta ufrj.br/-jaime/trabalhos/firewall/ 
firewalLhtm> 

[6] <http:/Amww academia.org.br/2000/artigo170.htm> 
[7] <http:/Awmww.hackinglinuxexposed.com/articles/ 
20020312.html> 
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Por Bruno Cesar, 
brunoBmundoerva.com.br 


ando continuidade à série sobre 
vulnerabilidades ocorridas nos mais diversos 
softwares, nesta edição da H4CK3R Especial 
Firewall vamos listar as principais falhas encontradas em 
firewalls pessoais, muito utilizados por usuários domésticos, 
que não têm a proteção disponivel em outros servidores 
(que já possuem um firewall configurado em uma rede 
interna). Na maioria das vezes, esses softwares são de fácil 
instalação e utilização para qualquer usuário, acarretando 


na configuração de um sistema de segurança pessoal sem 
grandes problemas. Na maioria das vezes, essas configura- 
ções padrões executadas pelo usuário são feitas com o 
intuito de precaver os principais ataques descritos na 
Internet, como worms, trojans e vulnerabilidades no sistema 
operacional. Mas com o objetivo de proteger seu PC, 
muitas vezes o usuário está colocando em risco sua. 
privacidade ao utilizar um software mal configurado ou que 
contenha algum bug que não foi corrigido. Abaixo, confira 
os alertas sobre as principais ocorrências de segurança mais 
recentes encontradas nos softwares mais utilizados nos 
últimos tempos pelos mais variados usuários. Com certeza, 
se você já utilizou um firewall pessoal para Windows, ele 
estará na lista, porém nem sempre com a mesma versão. 


” 


ZoneAlarm Random UDP 
Flood Denial Of Service 
Vulnerability 


>> 


O ZoneAlarm é um dos personais firewalls mais utilizados 
em sistemas operacionais rodando o Windows. Desde suas. 
primeiras versões, o software sempre colocou em prática a 
facilidade na hora de sua configuração. Até mesmo a sua 
utilização não tem muitas frescuras, oferecendo ao usuário 
diversas opções de configurações adicionais não disponíveis 
em outros firewalls do mesmo gênero. 

Um ataque muito conhecido entre o meio da segurança 
digital foi encontrado em algumas versões do software. É 
possível efetuar um DoS (Denial of Service) ou negação de 
serviço em sistemas rodando o software. Em certas 
circunstâncias, é possível emitir um número elevado de 
pacotes UDP de tamanhos aleatórios. 


A FERRO =": 
>> Versões afetadas: 


Zone Labs ZoneAlarm 3.7 .202 
Zone Labs ZoneAlarm Pro 4.0 


À (VU gu nrsmaa 
>> Exploit: 


http:/Avww securityfocus.com/dataNvulnerabilities/exploits/ 
zonealarm-udp-dos.pl 
http:/Avww.securityfocus.com/dataAvulnerabilities/exploits/ 
augustiner.c 

http:/Amww .securityfocus.com/data/vulnerabilities/exploits/ 
zados.asm 
http:/Avww.securityfocus.com/data/vulnerabilities/exploits/ 
zados.makefile 


SyGate Insecure UDP Source 
Port Firewall Bypass Weak 
Default Configuration 
Vulnerability 


>> 


Porter fácil utilização e, em algumas versões, ser 
“freeware”, o SyGate Personal Firewall é um método 
barato e rápido de proteger um computador 


59048 


Bloquear qualqueçacesso às portas 137 e 138 UPD pelo fi 
Adicionar esetar. 


conectado à Internet. 

Foi relatado que o SyGate Personal Firewall Pro permite o 
acesso às portas 137 ou 138 UDP, facilitando invasões 
sem problemas algum. 


nmap -vv -PO -sU %victims. ip address% -g 137 


ame A 


ja opção Advanced Rule Editor. 


e Ene E 


Multiple Vendor PC Firewall 
Auto Block Denial Of 


>> 


Service Weakness 
Como se já não bastasse um bug (por mais insignificante ” 
que seja) tornar um software vulnerável, imagine outro 
que torna não somente um, mas vários softwares vulnerá- o 


veis. Este bug pode fazer com que os firewalls pessoais 
fiquem totalmente estáveis a ataques do tipo DoS (ou 

negação de serviço). O problema está na manipulação do 
tráfego spoofed. Sob algumas circunstâncias, é possível 
para usuários remotos negar o serviço em vários locais. 


> 


Internet Security Systems BlackICE Defender 2.9 cap 
- Microsoft Windows 2000 Advanced Server 
- Microsoft Windows 2000 Advanced Server SP1 
- Microsoft Windows 2000 Advanced Server SP2 
- Microsoft Windows 2000 Datacenter Server 
- Microsoft Windows 2000 Datacenter Server SP1 
- Microsoft Windows 2000 Datacenter Server SP2 
- Microsoft Windows 2000 Professional 
- Microsoft Windows 2000 Professional SP1 
- Microsoft Windows 2000 Professional SP2 

- Microsoft Windows 2000 Server 

- Microsoft Windows 2000 Server SP1 

- Microsoft Windows 2000 Server SP2 

- Microsoft Windows 2000 Terminal Services 


ETA Srs 


Versões Vulneráveis: 


- Microsoft Windows 2000 Terminal Services SP1 

- Microsoft Windows 2000 Terminal Services SP2 
- Microsoft Windows 95 
- Microsoft Windows 98 
- Microsoft Windows 98SE 
- Microsoft Windows ME 
- Microsoft Windows NT Enterprise Server 4.0 
- Microsoft Windows NT Enterprise Server 4.0 SP1 
- Microsoft Windows NT Enterprise Server 4.0 SP2 
= Microsoft Windows NT Enterprise Server 4,0 SP3 
- Microsoft Windows NT Enterprise Server 4.0 SP4 
- Microsoft Windows NT Enterprise Server 4.0 SP5 
- Microsoft Windows NT Enterprise Server 4,0 SP6 
- Microsoft Windows NT Enterprise Server 4.0 SP6a 
- Microsoft Windows NT Server 4.0) 
- Microsoft Windows NT Server 4.0 SP1 
- Microsoft Windows NT Server 4.0 SP2 


o - Microsoft Windows NT Server 4.0 SP3 
ea - Microsoft Windows NT Server 4.0 SP4 
= - Microsoft Windows NT Server 4.0 SP5 
Sms - Microsoft Windows NT Server 4.0 SP 
gras “Microsoft Windows NT Server 4.0 SP6a 


- Microsoft Windows NT Terminal Server 4.0 
- Microsoft Windows NT Terminal Server 4.0 alpha 
- Microsoft Windows NT Terminal Server 4.0 SP1 
e - Microsoft Windows NT Terminal Server 4.0 SP2 
- Microsoft Windows NT Terminal Server 4.0 SP3 
- Microsoft Windows NT Terminal Server 4.0 SP4 
= Microsoft Windows NT Terminal Server 4.0 SP5 
- Microsoft Windows NT Terminal Server 4.0 sP6 
- Microsoft Windows NT Workstation 4.0 
- Microsoft Windows NT Workstation 4.0 SP1 
- Microsoft Windows NT Workstation 4.0 SP2 
- Microsoft Windows NT Workstation 4.0 SP3 
- Microsoft Windows NT Workstation 4.0 SP4 
- Microsoft Windows NT Workstation 4,0 SP5 
- Microsoft Windows NT Workstation 4.0 SP6 
- Microsoft Windows NT Workstation 4.0 SP6a 
- Microsoft Windows XP Home 
- Microsoft Windows XP Professional 
Internet Security Systems Blacklce Server Protection 3.5 cdf 
Kaspersky Labs Anti-Hacker 1.0 
Symantec Norton Personal Firewall 2002 


fá 


> Exploit: | 


Esta vulnerabilidade pode ser explorada com diversas ferramentas 
disponíveis. Um exemplo é: 


hping -e 13.-d 2-5 6000 -p 2140 -2 host1 .example.com-c2-a: 
host2.example.com 


rá 


>> Solução: 


Até o momento, nenhum dos desenvolvedores dos softwares Ee 
publicou uma correção ou patch paras os bugs. E s6 


Symantec Norton Personal Firewalllinternet Security-2001 Buffer nateiçar 
Overflow Vulnerability as 

'A vulnerabilidade, apesar dê um pouco antiga, afeta outro es 
software muito utilizado por diversos Usuários, causando um grande ” 
impacto no sistema. O bug reportado é Um buffer ovelflow no 
HTTP Proxy. Pode ser possível executar códigos arbitrários nesse 
contexto para coffprometer osistema, 


" 
>> Versões afetadas: : 


Symantec Norton Internet Security 2001 
=Microsoft Windows 2000 Professional 
= Microsoft Windows 2000 Professional SPÃ 
- MicrosoftWindows 2000 Professional SP2 > 
- Microsoft Windows 98 
=Microsoft Windows ME 
=Microsoft Windows NT Workstation 4.0 SP6a 
- Micposoft Windows XP Home 
- Microsoft Windows XP Professional 

Symantec Norton Personal Firewall 2001 3,0.4.91 
=Microsoft Windows 2000 Professional) 
Microsoft Windows 2000 Professional SP1 
- Microsoft Windows 2000 ProfessionalSP2 
Microsoft Windows 95 
- Microsoft Windows 95 SRZ 
- Microsoft Windows 98 
=Microsoft Windows 98SE 
- Microsoft Windows MB t 
- Microsoft Windows NT Workstation 4.0 
- Microsoft Windows NT Workstation 4.0 SP1 
=Micsasoft Windows NT Workstation/2.0 SP2 
= Microsoft WindoWs'NT Work&fftjón 4.0 SP3 
E SS ja lon 4.0 SP4 
= Microsoft Windows NT Worlgfation 4.0 SP5 
=Microsoft Windows NT Wolkstation 4.0 SP6 era 


= Microsoft Windows A 4.0 SP6a 
dá 
“AL 
g (o , 


ps 
>> Exploit: 


Não divulgado 


>> Solução: For, 


A Symantec disponibilizou o patch pelo seu software 
LiveUpdate 
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Netfilter : 


ia 


ur 


A solução livre para proteger servidores e redes 


oje, falar de firewalls 
nos Kernel 2.4 e 2.6 é 
falar de um software 


que é uma das ferramentas mais 
poderosas de segurança existen- 
tes: o Netfilter Iptables. Muitos 
administradores, usuários e curio- 
sos do mundo Linux perguntam 
como é o firewall do Linux, como 
funciona e que programa coorde- 
na estas funções. 

A resposta é o próprio kernel do 
Linux, que contém uma série de 
funções de filtragem de pacotes 
TCP/IP e que são manipuladas pelo 
iptables. Este programa foi o 
substituto do velho Ipchains e do 
jurássico Ipfwadm, respectivamente 
responsáveis por estas funções nos 
kernels 2.2 e 2.0. 

Um filtro de pacotes é um software 
que tem como função analisar o 


Para o iptables ser funcional, é necessário que a função de 
netfilter esteja implementada no kernel. Isto é feito durante o 


processo de compilação. É necessário acionar a op: 


cabeçalho (header) dos pacotes 
TCP durante o seu tráfego e 
decidir o seu destino como um 
todo. Podem ser tomadas decisões 
de descartar e aceitar um pacote 
(DROP e ACCEPT respectivamente), 
entre outras funções. 

No Linux, como já dissemos antes, 
o processo de filtragem de paco- 
tes está implementado diretamen- 
te no kernel, de maneira modular 
(LKMs) ou monolítica (diretamente 
compilado) e existem várias 
funções interessantes que podem 
ser feitas com os pacotes, mas a 
principal idéia é sua análise e 
tomada de decisões sobre o 
destino dos mesmos. 


Desde a antiga série 1.1, os kernels 
do Linux têm tido filtros de paco- 
tes, nos quais a primeira geração 


Options 


jo Network 


O netfilter é um fram 


funções de manipular as filtragens dos p 


foi totalmente baseada no ipfw do 
BSD (ou melhor, “portada” por 
Alan Cox em 1994). Essa primeira 
implementação foi melhorada por 
Jos Vos e outros membros para o 
kernel 2.0 dando origem ao 
ipfwadm. Em 1998, para o kernel 
2.2, Michael Neuling e Rusty Russel 
reescreveram uma série de novas 
funções melhorando e facilitando 
as regras de filtragem, dando 
origem ao ipchains. Em 1999, com 
o kernel 2.4, o iptables nasceu nas 
mãos do próprio Rusty Russel com 
uma equipe de colaboradores, 
introduzindo uma série de novas 
características importantes. 

Hoje o iptables é uma ferramenta 
muito poderosa que pode rivalizar 
e até ultrapassar soluções proprie- 
tárias de mercado que custam 
milhares de dólares. 


> Networ Packet Filterin (Replace Ipchains) 


om as 


existe 


uma ferramenta para manipular estas regras: o iptables, que 


ito mais do que 
filtro de pacotes... 


Por Antonio Marcelo 
amarceloQplebe.com.br 


filtering (também chamada “Dynamic Packet Filtering e 
Context Based Access Control” (CBAC), filtragem dinâmica de 
pacotes e acesso baseado em contexto, verifica o estado/fluxo 
das conexões gravando informações em uma tabela e o estado 
de uma conexão); 

- Suporte a NAT e a NAPT (network address and port 
translation); 


INPUT =p TCP - j z BM cinfra-estrutura flexível e extensível; 


- Uma série de novos recursos extensíveis com o patch 
- Interação com outros aplicativos. 


O iptables trabalha com o conceito de regras que serão 

guardadas no kernel (nas chamadas tabelas). Logo, toda vez 
“conversa” com o kernel e "fala” quais são os pacotes que que uma máquina for reiniciada, as mesmas serão perdidas, 
deverão sofrer o processo de filtragem. Desta maneira é queo  porisso é muito comum colocarmos as regras em um script. 
processo de filtros é realizado no Linux Todo firewall Linux inicia sempre os famosos scripts 

re.firewall, re.fir, etc. É muito importante que este detalhe 
O iptables incorporou uma série de funções importantes como: seja lembrado, mas para os mais comodistas, existem os 

programas iptables-save e o iptables-restore, que permitem 
- stateless packet filtering (IPv4 and IPv6), stateful packet gerar scripts e recuperar os mesmos na inicialização. 


> Como é o funcionamento 
do iptables : 


Como falamos.anteriormente, o kernel guarda as regras em o mesmo é analisado e encaminhado de acordo com a regra 
tabelas, Uma delas em especial, a filter, armazena estas regras em criada. Isto é feito consultando cada chain desta, sucessivamente 
listas, que são conhecidas como firewall chains ou simplesmente até que seja decidido o que fazer. Temos um exemplo muito bom 
chains, Existem três chains na tabela filter: INPUT, OUTPUT e disto no excelente packet-filtering-HOWTO de Rusty Russel, do qual 


FORWARD, Cada vez que um pacote chega numa máquina-destino, — tomamos a liberdade de copiar o esquema a seguir: 


' 15 


Entrada 


Saída 


[Decisão de] > IFOWARD! —p. 


[Roteamento] 


HINPUTI [OUTPUTI 


Es Processamento Local ae 


1. Quando o pacote chega (por uma placa de rede, por exemplo), o 
kernel executa a análise do destino do pacote, realizando o que 
chamamos de roteamento (routing) 


2.Se o pacote tem como destino a própria máquina, é direcionado 
desce a chain INPUT. Se passar pela chain INPUT, então a máquina 
recebe o pacote. 


3, Se o kernel não tem suporte a forwarding ou não sabe como 
repassar (forward) o pacote, este é descartado. Se há suporte a 
forwarding e o pacote é destinado à outra interface de rede (caso 
exista outra), O pacote vai para a chain FORWARD. Se o mesmo for 
aceito (ACCEPT), ele será enviado. 

4. Finalmente, um programa rodando na máquina firewall pode 
enviar pacotes. Esses pacotes passam pela chain OUTPUT imediata- 
mente: se ela aceitar o pacote, ele continua seu caminho, caso 
contrário, ele é descartado (DROP). 

Oiptables possui uma série de funcionalidades, mas vamos nos ater 
aqui a alguns exemplos práticos como podemos criar algumas 
regras. Basicamente as regras de um firewall são criadas da 
seguinte maneira 

iptables -t (tabela) (opção) (chain) (parâmetros) -; (ação) 

Por exemplo 


iptables -A INPUT -s 10.0.0.1 -| ACCEPT 


A regra acima determina que todos os pacotes que vierem do 
endereço 10.0.0,1 devem ser aceitos. Traduzindo: 


tabela; filter - não aparece por ser padrão, e logo não é necessário 
declará-la. 


opção: -A 
chain: INPUT 
dados: -s 10.0.0.1 


ação: ACCEPT 


Um script de firewall poderia ter uma série de linhas como esta a 
serem executadas no momento da inicialização do 
microcomputador. Mas como já falamos antes, as regras são 
armazenadas em memória e podem ser salvas com o comando. 
iptables-save. Por exemplo, coloque a regra acima e em seguida, 
digite o comanido: 


iptables-save > regras.txt 
Será gravado um arquivo com o seguinte conteúdo: 


Generated by iptables-save v1.2.9 on Fri Jan 9 12:51:43 2004 
*nat 
:PREROUTING ACCEPT [10688:2267227] 
POSTROUTING ACCEPT [173:12340] 
:OUTPUT ACCEPT [173:12340) 
COoMMIT 
* Completed on Fri Jan 9 12:51:43 2004 
* Generated by iptables-save v1.2.9 on Fri Jan 9 12:51:43 2004. 
*mangle 
:PREROUTING ACCEPT [53753:11883864] 
:INPUT ACCEPT [52821:11776460] 
“FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [26441:4620512] 
:POSTROUTING ACCEPT [26441:4620512] 
COMMIT 
& Completed on Fri Jan 9 12:51:43 2004 
* Generated by iptables-save v1.2.9 on Fri Jan 912:51:43 2004 
*filter 
:INPUT ACCEPT [52803:11761120] 
:FORWARD ACCEPT [0:0] 
:OUTPUT ACCEPT [26441:4620512] 
“A INPUT-s 10.1.0.20-) DROP. 
CoMMIT 
* Completed on FriJan 9 12:51:43 20 


Para a recuperação da configuração, basta apenas executarmos O 
comando: 


iptables-restore 


Eteremos assim a restauração das regras do iptables, 


Um outro ao NATec 


mascar 


ento está disponível desde 


as antigas 


também é conhe 


simples 
firewall deu Rec O 


traduzir toda » aros 


uma rede 


Sestintion 
através de um cy ACEEor) 


endereço IP. 
Resumindo: 


todas as 


estão numa Intranet protegida pelo firewall sairão para a 
Web através de um único IP, propiciando economia de IPs e 
segurança. Já o NAT (Network Address Translator) é a 
técnica pela qual roteadores traduzem um endereço falso 


dentro de uma rede (por exemplo, uma classe A com 


endereços 10.0.0.X, para um endereço válido para a 
Internet) para uma outra rede 


Estas técnicas estão suportadas pelo iptables e, por exemplo, 
o conjunto de regras para a realização do mascaramento 
para uma interface PPPO pode ser visto abaixo: 


iptables -P INPUT DROP 
iptables -P FORWARD DROP 
iptables -P OUTPUT ACCEPT 


iptables -t nat -A POSTROUTING -o ppp0 
MASQUERADE 

iptables -A FORWARD -i ppp0 -j ACCEPT 
iptables -A INPUT -p TCP -m state state 
ESTABLISHED, RELATED -j ACCEPT 


> O patch-o-matic 

Eis um dos recursos mais poderosos do iptables que o torna 
totalmente compatível e em muitos casos, superior a muitos 
firewalls comerciais: o patch-o-matic ou simplesmente, p-o-m. 
Trata-se de um conjunto de módulos/plug-ins que inserem uma 
quantidade enorme de recursos ao iptables, que são desenvolvidos 
por vários programadores que inserem no Kernel estas facilidades e 
que permitem realizar tarefas distintas. 


O p-o-m executa uma atualização no Kernel por patches que 
podem ser obtidos diretamente do site da netfilter através de 
download no site (no final do artigo) ou dos comandos cvs abaixo 


evs -d :pserver:cvsOpserver..netfilter.org:/cvspublic login (senha cvs) 
cvs -d ;pserver:cvsQpserver.netfilter.org;/evspublic co netfilter/ 
userspace netfilter/patch-o-matic 


Em seguida, o kernel terá uma série de novas opções disponíveis no 
netfilter como, por exemplo, análise de strings, que é ideal para 
evitar conexões de usuários a sites como o KaZaA e TARPIT, para 


diminuição de tráfego causado por worms, além de vários outros 
muito interessantes (fuzzy logic, controle de tráfego por hora, etc.) 


O p-o-mé desconhecido pela maioria dos administradores e é 
capaz de levar o iptables a um nível de recursos encontrado 
somente em firewalls de milhares de dólares. É recomendado que 
para o seu uso, seja utilizada a última versão do iptables disponivel e 
seja bem testada antes de ser colocado em produção. 


O netfilter é sem sombra de dúvida uma ferramenta 
extremamente poderosa e que compete de igual para 
igual com qualquer produto proprietário no mercado . É 


muito importante lembrar que trata-se de um recurso 
disponível no próprio sistema operacional e que pode ser 
manipulado para os mais diferentes resultados em termos 
de segurança. Mas, lembramos que somente um firewall 


não é seguro, temos uma série de outras ferramentas 
complementares no sistema. Queria, no entanto, ressaltar 
ar disso, O principal fator para que possamos 
operar cada vez melhor este tipo de ambiente é o próprio 
ser humano. 


que apt 


Sem administradores preparados e devidamente treina- 
dos, tudo o que mostramos aqui com esta poderosa 
ferramenta, não serve de nada. É muito importante o 
esclarecimento constante para que possamos levar cada 
vez mais o Linux ao ambiente de segurança das empresa: 


> Links: 

Site oficial do iptables/netfilter - Attp://mww. netfilter.org 
Documento oficial do p-o-m- Attp:/Amww.netfilter.org/ 
documentation/HOWTO/etfilter-extensions-HOWTO. txt 
Documentação geral do iptables e do netfilter - Attp:// 
wwyw.netfilter.org/documentationiindex.htmlgdocumentation-howto 


Antonio Marcelo Ferreira da Fonseca é autor de 12 livros sobre Linux e 


ojetos HoneypotBR (http 


mw.honeypot.com. 


FREERP (Attp:/4mww freerp.com.bi e da Certificação Brasileira em GNU/ 
Linux (http:/mwn cblinux.com.bi. É diretor da Associação Brasileira de 
Software Livre (ttp:/4mww.abrasoL.o área de segurança de dados € 


articulador das revistas H4ck3r e Geek. Mandem suas críticas suge 


até mesmo um ai 
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Firewalls & Cia 


Alternativas e informaç 


des sobre firewalls para Windows 


| por Fernando Giannaccari 


ão 


manutenç 


blog: 
no 


que po 


conta é 
saída, 


programa antivírus, o propósito da filtragem dos tráfegos de 
entrada e saída é detectá-los e prevenir o sistema de ataques. 


E entrada vs. Filtragem de Além do mais, a filtragem do tráfego de saída avisará ao usuário E 


sobre outras tentativas de acesso à Internet vindas de programas 


tráfego de saída (Inbound vs. | comospybotsespywares. Comisso, prevenirá a perda de dados 


Outbound filtering) Reta 3 FR 


Integridade do aplicativo 


O termo Inbound filtering (tráfego de entrada) refere-se a a 


qualquer dado que você recebe. isso é o que a maioria das nr” ho 
pessoas atribui ao trabalho do firewall. O outbound filtering q A verificação da integridade do aplicativo é só um 

(tráfego de saída), entretanto, pode ser ainda mais importante eufemismo para observar mudanças de dados. Os 

para a segurança de um sistema. Por exemplo, depois de instalar dermatologistas aconselham observar variações de cor e 

um firewall como o Zone Alarm pela primeira vez, muitos usuários |) tamanho, e basicamente o mesmo é empregado aqui. Se 

notarão programas estranhos tentando acesso à Internet através |] um aplicativo muda desde sua última utilização e nenhum 

de portas incomuns. Estes podem sersinais de um programa E | usuário ou administrador aplicou patches ou fez upgrade, é 
malicioso que se infiltrou no sistema sob várias possibilidades. E) | taxada a bandeira vermelha ao firewall, o que significa que ' 
Muitas pessoas não sabem que possuem esses programas o aplicativo pode estar infectado. Em muitos casos, o alerta 
instalados e, possivelmente, por muito tempo. No pior caso, pode se dá ao fato de você ter dado upgrade no aplicativo em A 
ser que o computador atue como um “zumbi” e esteja sob particular. Em outros casos, entretanto, são detectados q 
controle de um terceiro em qualquer lugar da Internet. Como programas maliciosos que o manipularam ealterarampara Mm 
este tipo de programa não é normalmente detectado por um algo perigoso ou promíscuo sem seu conhecimento. , 


E 


> Mac OS X Firewall: 


>> Notificação ao usuário 


Alguns firewalls têm a no 


ação em janela ofi 


wall nativo do Mac OS X é como todos os out 
baseados na plataforma UNIX, possuindo uma forma avançada 


s SO 


pop-ups que alertam o usuário sobre requeriment 
saída, É possível assistira todas transações e loc 


de monito: 


É fácil de entender e configurar, mas 


os primeiros 15 minutos pós-instala: 


também 


sligado por padrão, como no Windows XP. Vá em 


estressa. Configurar regras automáticas de aceitaçã 


System Preferences”, “Sharing”, “Firewall” e se entenda 


negação de certos serviços nos previne de tal incômodo 


rlá. São também necessários algu 


ns cliques na 


“Sharing” para habilitá-lo, mas é st 


era própria 


instrução. Não existem opções avançadas no firewall nativo, 
fal, 


ui o novo browser da Apple, Safari, que tem seu próprio 


mas vale 


>> Quem faz os softwares 
de firewall pessoais? 


ar que a mais nova versão do MacOSX, a Panther, 


im: 


sistema de bloquear adware, pop-ups e filtragem de cookies 


Em primeiro lugar, si 


mas operacionais como o Wind 


XPe o MacOS X já vêm com seu próprio firewall integrado, 


então, se você tem um dos dois sistemas rod! 


>> Firewalls populares 
(e grátis) 


um firewall básico instalado (não necessariamente lig 


eles suprirem sua necessidade (discutida acima), tudo o que 


precisa é de uma configuração mínima para funcionar. Já em 


sistemas UNIX, como o Linux, existem > Kerio Personal Firewall 2 


iltro: 


Alguns dos firewalls populares são o Zo 
Personal Firewall? e o Outpost 


e Alarm, 


y o possui regras para download além da 
Outrosfirewalls que são igualmente baratos/trial incluem o p giesp 


Norton Personal Fitewall, o Black ICE PC Prote 
Personal Firewall e o Tiny Personal Firewall 


gras definidas pelo usuário. Uma coisa 


a e do Tiny- ambos di 


dem a mesma arquitetu- 


As informações para cada um dos fi 


ewalls listados 
o da compiladas por fontes confiáveis para testes. Algumas das 
ofertas comerciais requerem uma taxa anual, mas val 


não são criptografados pelo firewall, mas possuem 
para fins de monitoramento de integridade do 


e é um firewall relativamente novo, 


criptografi 


ativi 


as recebeu 


porque elas te garantem updates automáticos que mantêm 


s críticas. 


seu firewall sempre em dia para um nível maior d 


e “a 
io a UU > Outpost Firewall 
>> Firewall nativo em Elimibomiesójdo freeware dao des Umari bad 
Sistemas Operacionais (SO) Sta 


tenção. É fácil de usar, bloqueia ads e vírus, 
além de controlar cookies 


> Windows Internet Connection Firewall: 


> Zone Alarm 


avelmente é o firewall mais conhecido de todos, É 


é melhor do que nada. É importante notar 


| de instalar e configurar. Como todos os outros produtos, 
tráfego de saída ou qualquer opção adicional. Por padrão il de instalar e configurar. Como todos os outros produtos, 


e 


filtra tanto o tráfego de entrada como o d 
Alarm 


saída. O Zone 


desligado, mas é legal você checar antes de instalar outro 
Meus 
(My network places), clique em “Ver minhas conexõe: 


econhecido como o líder dos firewalls pe: 


software, Para localizá-loligá-lo, vá em cais de rede s grátis 


já pora 


ns anos, mas alguns dos listados a seguir têm se 


nado bastante comp 


itivos 


Qu Do o O 
>> Firewalls de mercado 


> Black ICE PC Protection 
O Black 


os lideres, provavelm: 


(View my network connections), selecione a conexão qui 
trabalha com o firewall, clique com o bot 


“Propriedades”, depois em “Avançado”, ema 


meu computador e a rede limitando ou impedindo o 


este computador por meio da Internet” (Protect My Comp 
And Network By Limiting Or Preventing Acce: 


From The Internet). Voilá, você tem um firewall t 


To This Comp 


ico! :] 


Tenha em mente que você nunca ICE parece ter 


os audiência do que alguns dos 


software firewall ao mesmo tempo! 


a 


la sua interface simples e 


FIREWALL DO WINDOWS 


limitada área de configuração. Mas ele tem boa detecção de 
invasão, um log simples e claro, e uma ótima aparência. O 
usuário pode rastrear o atacante através dos logs do ataque. É 


> Tiny Personal Firewall 


As versões anteriores eram grátis, entretanto no 


uma opção barata, mas aparentemente proporciona o mesmo presente momento o Tiny está se tornando trial 


crEimuisEanesitana somente. A Tiny ganhou grande reputação rivalizando 


com a ZoneLabs pelo número um no ranking do 
software grátis. É de fácil instalação, possui uma 
infinidade de opções para experts, como controle 
detalhado do programa, e os dialogs contêm também 
muitos detalhes. A modificação das regras pode ser 
um processo tedioso, mas muitos experts gostam 
dessa opção. 


> Norton Personal Firewall 2004 


A Norton-Symantectem boa reputação em relação à 
qualidade seus produtos e este não é exceção. Versões do Norton 
Personal Firewall 2004 e Norton Internet Security estão também 
disponíveis para Mac. Os programas são bons tanto para novatos 
quanto para experts. O Norton é totalmente configurável, existem 
regras pré-programadas e sua instalação é simples. O Norton 
Internet Security inclui antivirus e controle de usuários. O “proble- 
ma” é que comprar produtos dos grandes chefes custa um pouco 
mais caro. Os produtos da Norton e McAfee custam acima de 50 
dólares, enquanto os outros todos giram abaixo desse valor. 


> Zone Alarm Plus ou Zone Alarm Pro 


É um pouco confusa a infinidade de opções disponí- 
veis pela Zone Labs (Zone Alarm, Zone Alarm Trial, Zone 
Alarm Plus 4.0 e Zone Alarm Pro 4 com Web Filtering), 
mas tudo se resume a isso: de graça, você só tem um 
firewall simples. Pague 40 dólares e adicione interface de 
| proteção de usuário e vírus, ou pague 50 dólares e 
adicione as opções citadas,o limpador de cache, bloqueio 
de ads e controle de cookies. O Zone Alarm é um firewall 
robusto, mas seu revés é que seu mecanismo de filtragem 


> McAfee Personal Firewall 


O firewall da McAfee tem uma interface agradável ao usuário, 
mas um processo chato de configuração. Alguns críticos o colocam 
acima do Norton, mas como é um produto bemmais novo, 


geralmente vem em segundo lugar. A versão básica do firewall custa ASR Ta SRS e a ateste MM como 


30 dólares, e o Internet Security já aumenta para US$70, incluindo da em extremos com centenas de alert pop-ups 


salas de chat para crianças, proteção antivirus e bloqueio de ads, 


> Outpost Firewall PRO 


A versão comercial deste firewall da Agnitum adiciona à 


a 
Uma comparação 


versão grátis verificação de integridade do aplicativo, entre 
muitas outras opções. O preço é razoável e licenças-família 
estão disponíveis para uma rede doméstica. É fácil de usar, 
bloqueia ads, vírus e filtra cookies. Definitivamente, vale a 


A tabela abaixo compara os firewalls destacados acima. 
(Os custos são em dólares) 


| co filtragem Monitoramento 
| de Integridade 
| | do ay 
| | avançado | ciaroe conciso 
e US$20 por ano. 


pena para uma casa cheia! ;] 


Kerio Personal 
Firawall 4 


Avançado | claro e conciso 


Incluído em todas 
as versões 
do Macosk 


E mcosx 
À rirewair 


Mentes Porsonai | usg30 PRE io Avançado | Avisos confusos. 
| + | 
| US$5a para PC, | claro e condio, 
lussopiraversão| robusta | Dos Avançado 
pamec | 
Outpost Firewall claro e conciso, 
utpost Firewall | Versão gratuta simples Bos nenhum tog completa 
de pacotes 
rosto | a | Avançado | Avisos detalhados 
| | Ee 
smpes | vn | tásco Básico nenhum nenhum 
| | | | avisos detalhados, 
simples Bos tog completo. 
de 


20 


Parecida com a tabela acima, a próxima compara os. 
softwares que nos oferecem opções mais avançadas. Com 
todas essas análises, você não tem como se enganar quanto 
aos softwares. :] 


antivírus 


Capacidade 
multiusuário 


US$40 com 
renovação de 
US$20 por ano 


US$4S usuário Somente para 


único; Não propósitos 
de autenticação 


US$22 Inscrição 


Sim 
USs75 (McAfee Não 
VirusScan) 


US$70 para PC, sim 
US$100 para ” | (Opção adicional: 
versão Mac Norton AntiVirus) 


Ussso 


Somente para 
propósitos de 
autenticação 


>> Manutenção do firewall 


A instalação e a configuração de qualquer um desses. 
firewalls deve ser extremamente fácil. A maioria deles usa 
linguagem clara, como “Paranóico”, “Nervoso”, “Confiável” 
do BlackICE, por exemplo. O uso diário e o monitoramento 
podem ser tão detalhados quanto o software permita, mas a 
maioria dos usuários prefere menos detalhes. Todos os 
firewalls não-nativos possuem logs enquanto o programa é 
rodado. Esses logs podem ser complicados de ler, mas, 
normalmente contam muito sobre o tráfego no sistema e na 
rede, e podem ser bastante efetivos alertando o usuário sobre 
ameaças comuns. 


nm « 
>> 1,2,3, Testando! 


a 


Ainda bem que existem alguns sites que servem 
para escanear e testar firewalls pessoais. Aqui vão 
alguns dos melhores 


> Hacker Whack: 
Períodos grátis estão disponíveis aqui para fins de scans e testes. 


ternet 


est 


Com interface web, os serviços de identificação de 
portas/serviços do ShieldsUp! são justamente acrescidos 
de boa reputação. 


«top Audit 


Por 10 dólares por ano, esta companhia oferece 
consultas de segurança em interface web com duração 
de 30 minutos a uma hora 
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* Funções é informações 


% 7) > 


“54” "busca por segurança na Internet é constante! rooters e outros sistemas de grande porte que necessi- 


novos projetos e sistemas são desenvolvidos |. 
“diariamente. Atualmente, podemos considerar 
o mer jo da segurança da informação (não 
Jiment na Internet, mas também em outros meios) é 
um negócio muito lucrativo e interessante. Por esse: 
motivo, existem diversas tecnologias voltadas e desen- 
volvidas especificamente para essa área. Podemos 
citar como exemplo o conhecido firewall, que pode ser 
descrito e utilizado em sistemas Linux, Windows, MAC, 
entre outros *nix. O que diversos usuários ligados à 
informática e Internet não sabem é que um, firewall 
não é-somente voltado a um software de qualquer 
sistema operacional, que você instala no sistema, faz 
as configurações e ele já está rodando livre, leve e 
solto. À buscaspor novas tendências de'Internet 
Security fez com que o firewall em modo software não. 
fosse totalmente aplicáveliem grandes servidores, 
-- 


as E 


tavam de uma tecnologia mais amigável e segura. Com 
isso, foi m rio o uso do firewall baseado em 
hardw om dispositivos Ri especificamente 
“para essa função. Ele está fisicamente ligado às duas 
redes em questão: a sápio N pública. Possui a 
vantagem da obtenção de um melhor proteção do 
que os firewalls baseados em software, além de poder 
proteger mais de um sistema de cada vez. Outro ponto 
positivo são que eles não afetam a performance do 
sistema, já que, como estão separados, não interferem 
no seu desempenho. Além disso, são independentes do 
sistema operacional e das aplicações que você vá 
utilizar ou utiliza no sistema atual. A desvantagem é 
que é necessáriosalocar mais energia e espaço na sua 
rede de computadores - que já pode estar saturada -, 
além de os firewalls baseados em hardware tenderemss. 
a ser mais caros. 


&% dê 
Mm, mac 


| 


Os principais componentes de um firewall não incluem o. 
software ou mesmo q hardware, mas sim o objetivo quetestá em 
mente de quem irá aplicá-lo ou configuráslB) Seja por software ou 


hardware em um router. Pademos considerar a cs ração de 
um firewall um conceito básico, porém difícil de ser aplicado: 
corretamentê se não houver um bom senso e um conhecimento 
apropriadosdUma estratégia tecnológica sempre Ida na hora 


de construir'ê configurar um firewall é a seguinte: o administrador 
deve definircorretamente tudo aquilo que convém para o bom uso 
e a segurança do servidor. De nada adianta ter o melhor carro se 
você não sabe dirigir. O mesmo. se aplica a um projeto de seguran- 
ça: pode ser o melhor produto do mercado, mas você deve saber 
utilizar o que'tem em mãos, saber qual o objetivo da sua aplicação, 
eo que ele pode gerar de bom e ruim a seu servidor. Antes de 
implementar um sistema de segurança deste em Slairede, 
primeiramente pergunte-se; % 

- O que eu quero que o firewall faça? 

- Qual será o nível de controle desejado? 

- Quanto pretendo gastar para conseguiresses resultados? 

- O que vai manter o custo? o 


sy 
, “Dessa forma, um estudo aprimorado do sistema que possui 


em mãos é essencial. 

Com os constantes ataques gerados pelos mais variados 
motivos com o objetivo de proteger sua rede, muitas vezes, o 
administrador acaba pecando em pontos estratégicos cruciais 
em seu projeto de segurança em um servidor. Muitas pessoas 
acham que, se utilizarem somente umfirewal| em sua rede, 
ela ficará segura pela vida inteira. Issol&uma ilusão que 
ocorre constantemente em nosso meio: Devemos saber que 
um firewall se torna inútil quando o problema vem de dentro 
do servidor, ou seja, quando ocorre uma simples ' 
vulnerabilidade no sistema, como um Daemon não-atualizado. 
Tudo isso pode gerar uma invasão que passará pelo firewall 
normalmente, sem problema algum para o invasor. Assim, o 
administrador se pergunta: como minha rede rodando Linux 
foiinvadida se meu iptables está corretamente configurado? 
Simples, o invasor utilizou um exploit remoto e explorou uma 
falha no SSH, por exemplo, que deu aces; ot a esse 

jo invasor. Comola porta SSH no SE; liberada para 
o de outras pessoas, o firewall não barrou o acesso av! 


>> Packet Filters e Screening Router 


Vejamos um exemplo da implementação de um projeto básico de um firewall baseado em um router, cuja função é simplesmente. 
formar uma barreira de segurança em uma rede qualquer. Na Internet, devemos saber antes de qualquer coisa que existem diversos 
protocolos, tais como TCP, ICMP e UDP. Esses são os principais protocolos referentes a transporte e rede considerados e examinados 


assim que são estabelecidas regras de filtragem num packet filter. 


O mecanismo de filtragem de um router (que é e pode ser considerado um “hardware firewall”) possibilita que o controle de tráfego 
de rede e do tipo de serviços que comprometam a segurança do sistema possa ser restringido. 
O packet filter não é responsável por: examinar m hum proto de nível superior ao de transporte como, por exemplo, o nível de 
. E 


aplicação que fica como tarefa dos application ga! 
evitada utilizando somente esse projeto de firewall Neste 


janto, qualquer falha de segurança relacionada a software não pode ser 
|, O componente que realiza a filtragem de pacotes geralmente é um 


router dedicado; masstambé pode ser um host de propósito “geral, Configurado como router, podendo receber a denominação de 


Screening Router, Vejamos no ii básico; 


Permite ou bloqueia 
pacotes de acordo com 
as regras de filtragem 


+ 


Interhet 


Li 


Screening Houter ; & 
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Se já temos a idéia de que a filtragem dos pacotes não 
considera protocolos acima do nível de transporte, não é 
tomada nenhuma decisão baseada no conteúdo dos pacotes; 
ou seja, nos dados dos pacotes propriamente ditos: A 
filtragem que a maioria dos screening routers realiza é 
baseada nas seguintes informações 


= Endereço.IP fonte 

= Endereço IP'destino . 
= Protocolo: se o pacote é TCP, UDP ou ICMP 
-Portas TCP ou UDP fontes 

- Portas TCP ou UDP destino 

- Tipo de mensagem ICMP 


No protocolo TCP existe uma flag denominada ACK, que é 
utilizada para a confirmação de pacotes e para detectar se o 
pacote é o primeiro de uma solicitação de conexão. Quando a 
flag não estiver acionada, significa que o pacote se refere a 
uma solicitação de conexão e, caso contrário, ele corresponde 
a alguma conexão já existente. Assim, o packet filter pode 
bloquear um serviço inbound (que vem de fora para dentro) 
apenas não permitindo o fluxo de pacotes com o ACK 
acionado, destinado a um servidor interno e assóciado a uma 
Porta qualquer do serviço bloqueado 

Anteside qualquer coisa, é importante que o router tenha 
facilidades de filtragem por interfaces de rede. Ou seja, todas 
as interfaces disponíveis no router são submetidas às regras 
de filtragem, possibilitando que elas sejam aplicadas conside- 
rando as seguintes informações 


- A interface em que o pacote chega 
- A interface da qual o pacote sai 


Regras de filtragem em um screening router 


- Bloquear todas as solicitações de conexão de hosts da 
rede extêrna com a sub-rede “X.X.8" conectada em 
alguma interface do router, exceto conexões SMTP 


- Bloquear todas as conexões (para esde) daqueles que 
sejam considerados "não confiáveis” pelo administrador 


- Desabilitar o source routing, que é o roteamento de 
uma máquina para outramáquina destino especificada 
no pacote 


- Bloquear totalmente os serviços que são considerados 
inseguros, tais como X-Windows, RPC, NFS, TFTP, SNMP, 
NIS, entre outros 


Um exemplo importante de ataque muito utilizado na 
Internet por hackers e entre outros invasores que pode ser 
evitado com a aplicação deste projeto de firewall éo IP 
Spoofing, que no caso é um ataque em que o intruso tenta 
se passar por um host interno (considerado um host confiável 
por qualquer firewall ao utilizar o endereço IP intefho como: 
endereço fânte). Pois bem, se a filtragem é realizada por 
interface em ambos os sentidos, este ataque não irá 
funcionar porque jamais um pacote pode vir de fora tendo 
como endereço fontê o endereço de Uma máquina que está 
na rede interna, 


Asintese dessas regras de filtragem depende muito do 
router ou firewal] utilizado porque, atualmente, não. 
existe uma norma de síntese. É aconselhável montar Uma 
tabela com as possibilidades de pacotes para cada serviço 
a ser fornecido 


= Direction: é aldireção.do pacote (in: entrada no router; 
out: saída do router) 
- Source address: é o endereço fonte 
- Destination address: é aendereço destino 
- Protocd]: é o protocolo utilizado 
- Source port: é a porta fonte 
- Destination port: é a porta destino 
= ACK set indica se a flag ACIgEStá ácio 


il tes pode execu- 
tar uma série itividades que servem, el coisas, q 


ara monitorar O sistema, « «como mi ver E alguns 


xemplos abaixo: 


- Realizar logs de acordo com nfiguração especificada 
ú pelo adm ador, Com isso, será possível analisar á 
detalhadai eve is te vas de ataques, bem como 
y verificar acon a operação do: 


* 
- Retorno de mensagens de erros ICMP, Caso um pacote seja 


Spa, À 


rrado, existe a possibilidade de enviar ao endereço fonte 
alguma mensagem com o código de erro IEMP do tipo host 
unreachable ou host administratively unreachable. Tais mensa- 
Is, entretanto, além de causarem um overhead, podem 

fornecer ao invasor algumas informações sobre o packet filter, 
pois dessa forma ele poderia descobrir quais os protocolos que 
estão barrados e quais estão disponíveis. 'omendável que. 
não se retorne nenhum código ICMP deei araoshosts 
extêmosd r 

Abaixo listamos algumas vantagens e desvantagens dos 
Packet Filters 


Vantagens: 


ya Internet 


| 
| 

- Podem ajudar a proteger uma rede inteira, principalmente 
| se este é o único router que conecta a rede interna 

| 

| 

| 


= A filtragem de pacotes é transparente e não requer 
tanto conhecimento 


- Estão disponíveis em diversos routers e podem ser 
aplicados sem problemas 


Desvantagens: 


- As ferramentas de filtragem atualmente disponíveis não 
são 100% perfeitas 


- Alguns protocolos não são bem adaptados a cada tipo 


- Algumas políticas não podem ser aplicadas somente com 
a filtragem de pacotes 


Alguns Riscos 
+ eo Rio x E 


A fitragem por endereço Tó 
podem gerar ataques ao sistema. São eles: 
: e 


, seja elae externa ouinterna; E 
pelo firewall. Esteataque pode ser bem-sucs A principal- 
invaso) não precisar capturar nenhum pacote e quando — 


caso a máquin: jada se) aigisras não houver mecanismos de 


E 


filtragem que impeça ipoofing. A resposta ao ataque poderia ser. 
o envio de algumas informações via e-mail diretamente ao invasor. 


“ Manin the middle: além de forjar o endereço, neste ataque o 
deve estar no caminho entre o firewall e 


ohost confiável 
je ele tem de capturar os pacotes que são, na realid: 


os 


fia 


>> Conclusão 


Procuramos no artigo apenas citar um exemplo básico 
de um firewall baseado em hardware (router) e seus 
tipos de filtragem. É claro que hoje no mercado existem 
diversas tecnologias voltadas a essa área (routers e meios. 
de filtragem). O que deve ser feito é um projeto rede 
para saber qual é a sua necessidade. 

O funcionamento de qualquer firewall só será bem- 
sucedido a partir do memento em que a sua utilização for 
realizada com outros aplicativos do sistema, tal como um 
IDS, e principalmente se o servidor estiver atualizado e 
configurado corretamente. Este é e sempre foi o grande 
segredo do firewall perfeito. 


“| 


E 


em 
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>> O PALESTRANTE 

O carioca Antonio Marcelo, que apresenta o curso de Firewalls no 
CD desta edição, é diretor da Área de Segurança da Associação 
Brasileira de Software Livre (ABRASOL) e já escreveu mais de 12 
livros sobre Linux e Segurança. Profissional formado no Politécnico 
de Redes da UNESA - RJ, Antonio é Professor Conferencista da 
Cadeira de Segurança da pós-graduação em Redes de Computa- 
dores da UNESA-R) e também escreve regularmente para as 
revistas H4ck3r e Geek. Além do vídeo, você também encontrará 
no CD desta revista dois capítulos completos do livro Segurança em 
Linux e uma apresentação com os tópicos do curso resumidos. 


Resumo do Capítulo VI: 


Neste capítulo, você vai conhecer os conceitos básicos de um 
firewall e suas prihcipais características. Também verá algumas 
técnicas básicas, como o mascaramento, as configurações de 
preparação de uma máquina e muito mais. No CD estão disponíveis 
versões para Word e OpenOffice. 


Resumo do Capítulo VII: 


Neste capítulo, você verá exemplos práticos de uso do IPtables 
e as regras e implementações de um firewall rodando no 
Kernel 2,4,X do Linux, Além disso, você vai saber mais sobre as 
tabelas NAT, o bloqueio e filtragem de pacotes e outras 
importantes funções de um firewall. No CD estão disponíveis 
versões para Word e OpenOffice 


Os tópicos do curso 


Para melhor assimilação das informações, o curso de Firewalls foi 
dividido em quatro partes e 13 capítulos. Conheça um pouco mais 
sobre cada um deles. 


Rodando o CD 


CONCEITOS BÁSICOS 


>> 


Na introdução do curso, os diferentes tipos de atacantes e técnicas 
de ataque são mostrados um a um. A intenção é iniciar falando 
sobre segurança de uma forma mais ampla e menos específica, 
discutindo assim os conceitos de privacidade, confiabilidade, 
integridade e autenticação, Assuntos como as definições básicas de 
um Firewall e suas funções também são abordados. 


> 


Neste tópico, o assunto principal são as diferenças entre os 
tipos de firewall, como e quando eles são usados, além de 
exemplos práticos. Outro assunto abordado é a filtragem de 
pacotes e aplicativos feita por softwares como o Ipfwadm, o 
Ipchains e o Iptbales. 
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DD REGRAS E OPERACIONALIZAÇÃO 


Com ênfase na parte prática do assunto, este tópico mostra a aplicação de filtros e regras gerais. 
Com exemplos reais do uso de Iptables, o palestrante realiza diversas técnicas de utilização e dá um exemplo de mascaramento. 


> CONSELHOS E DICAS 


No encerramento do curso, Antonio Marcelo faz comentários a respeito da profissão. 
de especialista em Segurança e dá dicas para se aperfeiçoar no ramo. 


> CATEGORIA FIREWALLS 


PARA LINUX 
Além do Iptables.... BBlagent Router - Imagem de uma distribuição Linux que roda 
Os sistemas baseados em GNUNinux também têm muitas opções por meio de um simples disquete para o compartilhamento de 
competentes de firewall. A vantagem de tanta variedade é poder conexão de banda larga. Também serve como firewall para evitar 
contar com versões personalizadas para cada tipo de necessidade. O acesso de intrusos na sua LAN. Você pode criar o seu próprio 
Existem distribuições que rodam a partir de disquetes, e outras que BBlagent router software, baseado na sua configuração de 
exigem muito pouco da máquina para funcionar, possibilitando hardware (NICs) e protocolo de conexão 


assim o uso de computadores antigos como firewall físico. A seguir, 
confira os destaques desta categoria: 


Coyote Linux 2.02 - Distribuição Linux especialmente desenvol- 
vida para compartilhar conexão e firewall. Cabe em apenas um 
disquete e roda diretamente por ele. Pode-se criar o disquete 
bootável tanto no Windows como no Linux 


" A ç SPECIAL FIREWALL 
Adamantix - O projeto Adamantix (formalmente conhecido como 4 


o Debian Confiável) tem como alvo criar uma segurança de alto 
nível e com facilidades para os usuários. Traz soluções de seguran- 
ça, incluindo: kernel patches, patches para os compiladores, 
programas relacionados à segurança e outras opções 


Paranoia Firewall 1.53 - Firewall projetado especificamente para 

computadores autônomos em redes inseguras. É empregado um bom 
mecanismo para |P/port-based ACLs e é requerido um arquivo que lista 
as conexões permitidas para cada porta/portrange aberta. 


| 
| 
| 
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Ipmkchains 0.17 - Este software lê um conjunto de 
regras e as compara com as regras que estão sendo 
utilizadas. Executa os comandos necessários para as 
regras em uso combinarem com as regras que estão 
em arquivos, usando diff e ipchains 


Guarddog 2.2.0 - Recomendado para usuários 
novatos e intermediários que queiram configurar um 
firewall sem precisar conhecer a fundo TCP/P e nem 
configurar ipchains, etc. Suporta FTP, SSH, Telnet, 
Linuxconf, Corba, SMTP, DNS, Finger, HTTP, HTTPS, 
NFS, POP2, POP3, SUN RPC, Auth, NNTP, NETBIOS, 
IMAP, além de outras opções 


Adcíw-log 0.9 - Ferramenta para a análise de logs 
de firewalls em ordem de extração de informações 
válidas para os usuários. Desenvolvido para ser um 
script stand-alone com poucos requerimentos que 
podem gerar diversos tipos de relatórios, inclusive mais 
detalhados. Também possui opções para filtrar 
entrada de dados por data, protocolo, etc 


Alfandega Firewall 2.2 - Um firewall com filtro de 
pacotes. É como uma alfândega por onde os pacotes 
devem passar para serem analisados e poder separar 
os nocivos dos úteis, Utilizando o Netfilter, filtro de 
pacotes que acompanha as versões 2.4 acima do 
kernel do Linux, o software faz uma barreira para 
evitar a chegada ou saída de pacotes nocivos 


BBStatus 2.08 - Contador de pacotes de IP e SNMP 
e ferramenta de monitoração para o Linux. Coleta, 
resume e mostra os valores. Pode ser usado para a 
contagem de IPs (permitindo que você tenha vários 
filtros de contagem), monitoramento de SNMP (coleta 
dados fazendo requisições SNMP), monitoramento 
ICMP, além de outras opções 


Firewall by Jim 1.30 - Este firewall obtém 
vantagens das informações do tcp. wrappers para 
bloquear usuários. Também separa arquivos para fácil 
configuração, trabalha com a ethO para a Internet e a 
eth1 para a rede 


Mason 0.13.9 - Ferramenta interativa que cria um 
firewall usando o ipfwadm ou o ipchains. O Mason lhe 
dá uma lista de regras de firewall para permitir e 
bloquear conexões de acordo com as regras definidas 
pelo usuário 


Firewall Builder 1.1.2 - Uma interface gráfica e 
um conjunto de compiladores para várias platafor- 
mas de firewalls. Ajuda os usuários a manter um 


conjunto de regras e permissões. Suporta 
iptables, ipfilter e OpenBSD pf 


Turtle Firewall 1.27 - Projeto de configuração 
de firewalls baseado no kernel 2.4.x e iptables. 
Possui uma interface web com um módulo webmin 


TBFirewall 3.1 - Projetado para conectar uma 
ou mais redes locais a outras redes, dando forma 
a uma rede interna e em outros modelos da rede. 
Também controla as regras de firewall graças à 
arquitetura de seus arquivos de configuração 


Firewall Linuxman 0.4 - Shellscript que utiliza 
iptables para configurar suas regras de forma 
semi-automatizada. Conta com as seguintes 
funções: inserir automaticamente os módulos 
necessários ao iptables, fazer NAT de uma ou 
várias redes, fazer DNAT para um ou vários 
servidores em uma ou várias portas, eliminar 
pacotes estranhos e/ou spoofados, utilizar proxy 
transparente, definir porta específica para o 
squid, bloquear P2P e Instant Messengers 


Firestarter 0.9.2 - Firewall que utiliza o 
GNOME. O usuário pode utilizar o wizard para criar 
um sistema de proteção básico, podendo utilizar 
regras dinâmicas, além de poder abrir e fechar 
portas com apenas alguns cliques e selecionar os 
programas que poderão ter acesso às portas 


Floppyfw - Um firewall para Linux que roda à 
partir de um disquete. Usa as capacidades básicas 
do Linux, em relação aos firewalls, e ainda possui 
um sistema básico de compactação. Ótimo para 
compartilhar conexões em banda larga 


> CONFIRA 


TAMBÉM... 


A categoria especial Iptables, na qual você 
vai encontrar scripts e patches de configu- 
ração para transformar seu firewall em 
uma barreira intransponível 


> CATEGORIA: FIREWALLS 
PARA WINDOWS 


Janelas com proteção extra 
O curso, que é o principal destaque desta edição 


especial, fala apenas de firewalls desenvolvi- 
dos para sistemas baseados em GNUMLinux, 
pois eles são os melhores e mais confiáveis do. 
mercado. Quem lida com Windows, porém, 
também pode proteger seu PC ou sua rede 
com programas de alta qualidade. Confira 
alguns deles a seguir: 


ZoneAlarm 4.5.538 - Protege contra 
ataques e acessos não-autorizados ao PC, 
monitorando as portas do sistema, bloqueando. 
ataques e controlando programas do computa- 
dor(Obs.: É limitado ao uso em uma máquina) 


PeerGuardian 1.99.12.29.2003 - 
Protege usuários de programas P2P do 
monitoramento das gravadoras. Ele 
trabalha basicamente como um firewall que 
impede conexões dos IPs suspeitos de 
monitorar o download e o 
compartilhamento de arquivos 


Omniquad Personal Firewall 1.1- 
Sistema de segurança para proteger o 
computador de acesso desautorizado à LAN/ 
Internet. Com ele, pode ser especificado o 
período em que será fechado automatica- 
mente o acesso à Web 


Kerio Personal Firewall 4.0.10 - 
Protege contra ataques hacker, identifi- 
cando o IP do invasor e não permitindo que 
ele entre no computador. Funciona 
durante 30 dias 


Tiny Personal Firewall 5.5.1288 - Faz 
uma busca em uma conexão com a Internet 
procurando por atividades hackers, assim 
como os antivírus procuram por virus, sem 
afetar a conexão. Ele detecta o ataque e 
bloqueia as ações de hackers, escaneia cada 
pacote da conexão e bloqueia portas 
vulneráveis. Roda em Windows 2000 ou XP. 


ProPort 2.2 - Monitora portas locais para 
evitar invasão de hacker e trojans. As, 
características incluem: monitoração ilimitada 
das portas, autodesconexão, edição das listas. 
de portas, registro de ataque, filtro remoto, 
gerente de processo, entre outras funções 


Securepoint Intrusion Detection 
System 2.0 - Analisa a rede em busca de 


invasores e pacotes maliciosos. Ele trabalha 
sempre de encontro ao tráfego diferente na rede, 
avisando-lhe quando há algum pacote ilegal 
querendo entrar na rede 


Sygate Personal Firewall 5.5 - Possui um 
sistema de segurança contra intrusos, ataques 
hackers e trojans. Quando detecta um port 
scanning ou tentativa de invasão, ele automatica- 
mente bloqueia a conexão e avisa a você sobre o 
problema, antes que o hacker roube dados do 
computador (Obs.: Versão para uso pessoal) 


BartWare Personal Firewall 1.3.4 - Permite 
bloquear as portas de entrada do PC, Pode 
especificar quais portas se quer bloquear e 
escolher entre permitir ou não que o número de IP. 
seja visto. Bloqueia trojans, worms, entre outros 


SecureliS 2.0.4 Personal Edition - Para a 
defesa do IIS 4.0, 5.0 ou 6.0. Utiliza a tecnologia 
CHAM (Common Hacking Attack Methods) para 
analisar e bloquear todas as tentativas de ataques 
ao servidor. Possui defesa contra o CodeRed e o 
CodeRed Il. Requer Windows NT 4.0 e Service 
Pack 6 ou Windows 2000, IIS 5.0 e Service Pack 1 
ou mais recente, ou ainda Windows 2003 eIS 6.0 
(Obs.: Esta versão protege um site por servidor) 


AlertWall Personal Firewall 1.2.1- Evite 
os hackers e outros invasores com este 

firewall. Permite bloquear a entrada de 
hackers e spywares para que não enviem nada 
pela Internet. O computador ficará protegido 
de trojans, vírus, hackers, entre outros (Obs.: 
Expira em 21 dias e funciona em Windows nas 
versões NT/2000/XP) 


Armor2net Personal Firewall 3.12 - 
Proteja-se dos ataques de hackers e arquivos 
maliciosos, como worms, trojans e spywares. 
Possui uma série de recursos interessantes que 
garantem a privacidade e segurança, incluindo um 
antipop-up. Funciona durante 30 dias 


Norman Personal Firewall 1.2 - Protege 
contra ataques de hackers ao computador, Ele é 
um firewall de aplicação e de pacotes. Usa 
técnicas que são compatíveis com a tecnologia 
TDI, fazendo com que o upgrade do sistema, 
assim como aplicação de "service packs”, não 
deixem o sistema instável, o que acontece com a 
maioria dos firewalls. 
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Juntos podemos realizar este sonho 
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especialista na comunidade digital 


im À Exclusivo É 


CURSO COMPLETO EM VÍDEO 

13 capítulos apresentados por Antonio Marcelo, 
diretor da ABRASOL e autor de mais de 12 livros 

sobre o assunto. Confira os destaques do conteúdo: 


CONCEITOS BÁSICOS 

*Conheça os diferentes tipos de atacantes e técnicas de 
ataque um a um. 

*Aprenda a trabalhar com de privacidade, confiabilidade, 
integridade e autenticação de forma prática. 


TIPOS DE FIREWALL 

*As diferenças entre os tipos de firewall e como eles são usados 
“Exemplos práticos de Iptables e a história dos aplicativos de 
segurança Ipfwadm e Ipchains 


REGRAS E OPERACIONALIZAÇÃO 

*Com ênfase na parte prática do assunto, veja a aplicação de 
filtros e regras gerais 

*Confira exemplos reais de Mascaramento usando o Iptables 


E MAIS: 
Saiba mais sobre: tabelas NAT, bloqueio e filtragem de pacotes e 
configurações de preparação de uma máquina 
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Janelas com proteção extra -* 
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Pacote para segurança de PCs domésticos e redes baseadas em sistemas Windows 


ZoneAlarm 4.5.538 - Protege contra ataques e acessos não-autorizados ao PC, monitorando as portas do sistema, bloqueando 
ataques e controlando programas do computador (Obs.: É limitado ao uso em uma máquina) 


PeerGuardian 1.99.12.29.2003 - Protege usuários de 


mente como um firewall que impede conexões dos IPs sus 


do monitoramento das gravadoras. Ele trabalha basica 


e monitorar o download e o compartilhamento de arquivos 


Kerio Personal Firewall 4.0.10 - Protege contra ataques hacker, identificando o IP do invasor e não permitindo que ele entre no 
computador. Funciona durante 30 dias 


Tiny Personal Firewall 5.5.1288 - Faz uma busca em uma conexão com a Internet procurando por atividades hackers, assim 
como os antivírus procuram por virus sem afetar a conexão. Ele detecta o ataque e bloqueia as ações de hackers, escaneia cada pacote 
Roda em Windi 2000 ou 


da conexão e bloqueia portas vulneráv 


Sygate Personal Firewall 5.5 -Possui um sistema de segurança contra intrusos, ataques hackers e trojans. Quando detecta um 
port scanning ou tentativa de invasão, ele automaticamente bloqueia a conexão e avisa a você sobre o problema antes que o hacker 


roube dados do computador 
SP 
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